> For the complete documentation index, see [llms.txt](https://yubit.gitbook.io/yubit/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://yubit.gitbook.io/yubit/es/otra-ayuda/programa-de-recompensas-por-errores-de-yubit.md).

# Programa de recompensas por errores de YUBIT

Nos complace anunciar el lanzamiento del **Programa de Recompensas por Errores de YUBIT** e invitamos cordialmente a investigadores de seguridad y miembros de la comunidad a participar informando vulnerabilidades.

📩 Envíe los informes de errores a: **<bd@yubit.com>**\
Nuestro equipo de seguridad revisará y validará las propuestas con prontitud y se pondrá en contacto con usted tras la confirmación.\
¡Valoramos enormemente sus contribuciones a la seguridad!

***

### 1. Recompensas por Errores Web

**Ámbito de pruebas:**

* [www.yubit.com](https://www.yubit.com)

**Rango de recompensas:**

* Riesgo bajo: **$50 – $100**
* Riesgo medio: **$100 – $500**
* Riesgo alto: **$500 – $1,000**
* Crítico: **$1,000 – $5,000**

***

### 2. Definiciones de gravedad de vulnerabilidades web

#### (1) Vulnerabilidades críticas

Afectan a sistemas empresariales centrales (sistemas de control, controladores de dominio, sistemas de distribución, servidores bastión, etc.) y pueden causar daños graves.\
**Posibles resultados:**

* Control no autorizado de sistemas empresariales
* Acceso a derechos de administrador de sistemas centrales
* Control total sobre la infraestructura central\
  **Ejemplos:**
* Control de múltiples dispositivos en la red interna
* Acceso a privilegios de superadministrador del backend, lo que provoca importantes filtraciones de datos
* Explotaciones de desbordamiento o condición de carrera en contratos inteligentes

#### (2) Vulnerabilidades de alto riesgo

* Escalada de privilegios (GetShell, ejecución de comandos)
* Inyección SQL
* Evasión de autenticación, contraseñas débiles, SSRF, exposición de datos sensibles
* Lectura arbitraria de archivos / XXE
* Transacciones no autorizadas o evasión de la lógica de pagos
* Fallos lógicos graves (por ejemplo, iniciar sesión como cualquier usuario, restablecimientos masivos de contraseñas)
* XSS almacenado (impacto amplio)
* Fuga de código fuente a gran escala
* Configuraciones incorrectas de privilegios en contratos inteligentes

#### (3) Vulnerabilidades de riesgo medio

* Problemas que requieren interacción del usuario (por ejemplo, XSS almacenado, CSRF)
* Evasión horizontal/paralela de autorización
* Denegación de servicio (DoS)
* Fallos de CAPTCHA que conducen a ataques de fuerza bruta
* Fuga local de claves sensibles

#### (4) Vulnerabilidades de bajo riesgo

* DoS local (bloqueo del cliente)
* Divulgación menor de información (traversal de rutas, listado de directorios)
* XSS reflejado/DOM
* CSRF básico
* Problemas de redirección de URL
* Envío masivo de SMS/correos electrónicos (limitado por sistema)
* Otros problemas de bajo impacto o no demostrados

***

### 3. Vulnerabilidades no aceptadas

* Suplantación de correo electrónico
* Enumeración de usuarios
* Self-XSS / inyección HTML
* Falta de CSP / SRI
* CSRF no sensible
* Problemas de configuración de Android (por ejemplo, `android:allowBackup="true"`)
* Problemas solo de rendimiento (por ejemplo, renderizado lento de imágenes)
* Divulgación de la versión de componentes de terceros (por ejemplo, versión de Nginx)
* Errores funcionales no relacionados con la seguridad
* Ingeniería social contra empleados de YUBIT

***

### 4. Definiciones de vulnerabilidades en contratos inteligentes

#### (1) Crítico

* Manipulación de la votación de gobernanza
* Robo directo de fondos de usuarios (excluidas las recompensas no reclamadas)
* Congelación permanente de fondos
* Explotación del Miner Extractable Value (MEV)
* Insolvencia del protocolo

#### (2) Riesgo alto

* Robo o congelación de recompensas/royalties no reclamados
* Congelación temporal de fondos

#### (3) Riesgo medio

* Detención del contrato debido al agotamiento de tokens
* Explotación de la congestión de la red con fines de lucro
* Robo de gas o uso forzado de gas excesivo
* Sabotaje disruptivo y no lucrativo

#### (4) Riesgo bajo

* Sin pérdida directa de fondos, pero perjudica la confianza/los compromisos
* Riesgos informativos (errores de oráculos, ataques de gobernanza, riesgos de liquidez, ataques Sybil, etc.)
* Recomendaciones de buenas prácticas

***

### 5. Actividades prohibidas

* Ataques de ingeniería social o phishing
* Divulgación pública o distribución de detalles de vulnerabilidades
* Pruebas destructivas (solo se permite la prueba de concepto)
* Escaneo masivo no autorizado
* Modificación de páginas web, inundación de ventanas emergentes, robo de cookies o cargas útiles intrusivas
* Cualquier daño no reportado durante las pruebas

⚠️ El incumplimiento de las normas puede resultar en **consecuencias legales**.

***

### 6. Nota final

Gracias por contribuir a la seguridad de la plataforma YUBIT.\
Juntos, podemos construir un **ecosistema cripto más seguro y transparente**.
